|
亚信安全NSG副总经理 轩晓荷
亚信本身可能各位不是特别了解,它是一个做互联网起来的公司,1993年权总抱着把互联网带回家的伟大梦想,开始了这家公司。目前无论是联通、电信、移动,还是网通,统统都是亚信承建的。亚信是全球第二中国最大的BOSS CM厂商,我们在安全方面在不断的研发,在2000年开始做安全,从那个时候起,主要围绕运营商本身的一些电子化解决方案,包括他们的帐号,包括安全运营监控,认证等等打造了一系列的解决方案。后来我们在2015年的时候成功的并购了趋势科技中国业务,趋势本身是中国最大的独立软件提供商,并入中国之后,把53款产品的100项专利的东西全部给了亚信安全,把它的研发团队也放给了亚信。在中国业务上面,我们目前在网络安全、大数据安全、云安全等一系列方面具有非常强的实力。在2016年开始在成都成立了网络安全的研究院,全面的进行按照中国大客户重点行业所需要的技术进行对应的定制化方案的开发和研究的服务内容。 目前为止,亚信安全本身从最开始的,包括刚刚结束的G20,亚信本身都是一个非常重要的安全保障提供商。刚才各位领导提到了G20峰会,其中在G20方面,我们作为它的重要保障单位,在整个行业覆盖商来说,无论是交通、运营商,我们的覆盖率是非常高的,也希望有更多的民航的信息化安全方面,我们能够做更多的参与。这是我们上商周委员长来亚信参观的一张图,并且给了我们很高的评价。 我从民航信息化面临的威胁提供一些建议和想法。大家都知道民航信息化,我本身在这方面是不擅长的,在民航信息化方面我看到的情况,我们和运营商也好,包括我们做的金融大客户也好,情况基本上非常类似,我们在信息化方面走的非常靠前,但是在安全方面,我们这边也通过最近这两年积累的一些案例总结了一下。个人信息泄露,这个信息是我从网上找的,可能是美国航空公司每天提供的机票,旅游信息的泄露,票务网站本身作为互联网系统也存在一些跨站等方面的漏洞和隐患。一些掌上APP,但是会有一些安全威胁。公安最近刚刚组织了一次网络国防部大赛,一共有18支进入第二轮的参赛队伍,有一支就是亚信安全,我们成功的进入了一家机场,也成功进入了一家省级的电网。意味着很多的网站基本上是有很大的风险。 在安检方面,在黑客面前是不堪一击的,各位领导都知道我们的安全更多的时候是有很多漏洞,因为我们使用的设备都比较陈旧,其中有些帐户的权限可以绕过,帐号密码很多的是不安全的。旅客过安检,机场本身也会出现情况,设备的后台问题也会存在一些安全意识不到位,安全措施等等,这些都是非常常见的,各位领导也不要认为这是耸人听闻,每一个行业都是这样子。亚信本身在金融方面,在运营商方面覆盖率非常高,可以认为他们的系统也是存在很大的问题。针对这个问题怎么样来解决是最重要的事情。 安保检查每年都会有一个评估,可以看出来在机场方面,在网络方面的控制,包括帐号密码出现多项的红色,就意味着不合格,黄色是基本不合格。符合项目加起来也就五六项。这是大部分机场的情况。前两天刚刚参加了公安部的一个会,他们从专项上面进行了汇总,其中给出来的信息,很多时候在这些方面存在很大的问题。 像每一个机场都有自己的安防,自己的物流,会出现业务、设备、维护三个方面的隐患。比如业务系统存在着帐号流失的情况,现在大部分的作业模式是这样的,一个班组一个班组的,这个班组坐在一排机器上面,大家遇到的帐号是同一个帐号,大家所用的操作日志后面很难对应是哪一个人干的。日志的缺失,货运本身日志都没有记,如果存在有些人把他的行为改到别人的名下,通过系统很难发现这个东西是一个问题。有些航班的调度失误也会产生航班的风险。基本上都纠结在帐号和权限上面的共用,在设备方面存在着大量设备的共享,甚至把自己的密码放在座位上,后面略微改了改,把它放在了笔记本上,这些都意味着在面临帐号的时候会存在密码共享,帐号共享等一系列的安全问题。在运维方面,后台的主机或者应用系统维护人员来说面临资产分布在独立的部门,没有统一的职责维护所有的安全,会存在很多的情况。在这种情况下,我们很难全面梳理安全。我们首先要考虑必要性的东西去做。从整个信息化安全来说,上午各位领导都会听到信息安全的重要性,从国家战略上来说,我们肯定面临着无论总书记的六个战略也好,还是在互联网大会上的发言也好,都给我们提出来在国家关键基础设施防护上面的安全要求,交通,特别是民航是排在最前面的,每个事故都会给我们带来很大的挑战。 网络安全法。从07年开始实施,他们给出来了七八类的要求,对民航有比较高的要求。在关于客户信息,个人信息的保护,这些信息到底是属于公司的,还是属于APP的,还是属于机场的,在网络安全法的层面上可以追诉,可以解释,我们国家制定了一些新的要求。从企业自身,无论是各个机场来说,或者航空公司也好,我们可能要做的事能够加强整个自身的安全建设,安全体系方面的内容。 从我个人的了解上简单的汇总了一下,我认为我们面临的一些网络信息安全方面的问题和挑战,我们看看行业里面针对网络安全建设到底是怎么做的。 这是我个人的总结,我把整个安全方面分为四个阶段,在一些大行业上,他们在一些设备化,买设备,买防火墙,买信息认证,2002到2005年,到2006年开始他们在做边界墙防护,把应用系统加了一个墙做一些边界化。在2012年之后大家开始做相对的统一化的内容,做一些统一的安全认证,做一些管控系统,在2012年开始,做到现在为止大家在做什么呢?可以认为是可视化先行,把安全状态把握起来,能够看得到。 从最开始的时候基本上会面临着去找设备提供商,我们最开始顶多是找防火墙,找几台设备,网络经销商把它放到网络上面,服务于设备提供商。在后来随着安全设备的增多,出现了一些专业的安全服务商,比如说安全评估的,安全架构的,这种厂商会帮你专门做一些加固工作。一方面买设备,一方面米专业服务。 从全球的形势来看可以认为是两个极端,在国外把60%的费用买服务,这种服务包括维护服务,包括监控服务,包括安全渗透、评估等等,把40%的钱用来买安全产品,安全设备。国内从去年的统计数字上来说,基本上30%的钱用来买服务,70%的钱用来买硬件。现在有一种新的形势叫安全提供商,他们会给我们提供一篮子的服务,在上面做一些定制化,亚信属于这一类的厂商,我们做了差不多有八年的时间。我们会站在整个安全的角度上帮用户提供很多的定制化,帮用户提供集成化的工作。现在有安全战略合作伙伴,我们亚信安全也是很多重要客户的安全战略合作伙伴。就意味者我们和他肩并肩一起考虑他的业务,考虑他的生态,考虑他自身的安全。对应的是在座老板们要考虑的一个问题,你现在面临的是哪个阶段,你在选择合作伙伴的时候,你还在选择从设备厂商,还是有专业的服务厂商加起来的形式,还是现在开始找综合解决方案来帮你解决问题。 这是一个很理想的状态,围绕这方面,从最开始的经济学习,亚信本身有一个团队,有100多人专门学习安全大数据分析的,这个团队从开始用开门的东西做一些安全的分析,到现在一些建模的体现,在试着往前走,无论是今天上午提到的机器人占座,甚至于刷号,抢占优质号码多少一回事。实际上我们是可以给它提炼出来,它可以去做。从最新的技术上来说,大家很少提状态认知,能够认识到这个问题,能够把它转化成通过代码实现的工作,这对我们的维护工作提高很大。所以我们把它叫做智能化提升阶段。 行业的贴身定制,国家的监管,要考虑几个方面的内容,从安全设立的堆积,需要按照业务生态需求去打造能够提高我们的自动化,智能化方面的工作。这个体系本身可以分为四个层面的能力构建,一个是基础能力,类似于现在去做的扫描,日常的加固,日常的安全评估,包括防病毒,防火墙等等。通过基础安全能力的构建可以解决一些问题。再往上面,要构建的是安全生产支撑能力。把用户的数据安全等等来解决生产过程中里面的安全问题的风险。安全的运维,这是所有人要面对的一个能力,无论是互联网应用,APP应用,大数据应用,本身都要解决生产安全的内容。在安全运维方面我们可以考虑监控、策略,以及上面的探测的感知一系列的能力。这四个是一个标准的做法,在这个做法上我们可以逐步的建设,开始的时候考虑基础安全和生产安全支撑的努力。 大家知道如果每一个人还在直接维护着20台或者上千台的机器,20个人在用一个帐号和密码,用户是分散的,很容易对应到人。在这种情况下,我们要做的模式是什么呢?每一个人在后台维护也好,前台各种各样的业务处理也好,他用的对应的身份是一个,对应了他来维护数据库,他对应的帐号是不一样的。每个人有不同的操作权限日志都是不同记录的。这个问题是很难的。在这种情况下应该怎么做呢?我们可以考虑去构建统一的身份,只有一个帐号,让每个人都用这个帐号登陆所有的资源,后端的资源都变成机器里维护,后面帐号的密码都由安全系统帮你管理,通过这种模式既不需要记很多的密码,同时还可以很容易的把每一个权限管理的非常好。 我们有一个案例,这个案例是山东省的一个大客户,他有7万人在用同一个系统,我们帮它构建统一身份,我们帮他构建帐号和密码,后面他进所有的资源和应用都是可以登陆过去。在这种情况下,有一次由于它的交换机出问题,我们的系统不能访问,基本上发现他们每一个人都不记得自己在主机上的密码,大家变得一阵恐慌,我们有方法解决这个问题。 内网的统一身份权限认证审计体系。每一个人的认证方式都是强认证,统一帐号。所有的认证日志或者登陆的日志都会有统一的存储帮你做分析,帮你发现这个人本来就离职了,这个帐号他怎么还在操作,这肯定是有问题的,要么这个帐号没有回收,要么他还在使用等等。我们可以把这种内网里面的帐号权限认真审计通过集中化的平台进行解决。 安全运维方面,我们如果每一台机器搞这些补丁,去打漏洞,生产本身是不能断的,不敢随便打。另外,你一旦打了补丁不合适,可能在回去的时候导致生产的掉线,所有的生产是第一的,自动化的晋察比如人工参与,我们通过一个自动化的工具帮你做所有的自动化检查。国家的部委检查到我们的客户,客户本身都要投入小20个人,或者12、13个人工作两周,或者做事先的检查和打补丁工作,现在可以把这种类似于纯人工的操作变成全部自动化做检查,也解决安全维护的自动化操作。 安全制度的流程化,安全制度的统一化。我们首先没有规范,没有制度,我们得有自己的规划,在这种情况下再考虑所有的流程,所有的响应,我们可以实现智能化的操作。 在站线方面我们希望看到一个总体的试图,通过这个大屏可以看到整个自身机场各个机场的得分,可以看到它可能发展的趋势等等一系列的问题。现在有很多的APP应用,大数据应用,这些应用一旦上来,我们面临的麻烦事可能会更多。我们可以考虑类似于这种整体,去看安全状态,安全威胁,安全得分。 要有统一身份的建设和安全生产支撑,包括运维,包括数据安全,在后端会有安全态势,大数据安全分析方面的能力。如果你有云平台,有云数据中心或者大数据,还将面临在云和大数据环境下特殊的安全。 整体来说,在安全生产的支撑下,要考虑数据安全,要考虑合规,流程,监控。 |
中国民航报社 版权所有 京ICP备05024158 如有意见和建议,请惠赐E-mail至 news@caacnews.com.cn 建议使用 IE 5.0 或 NETSCAPE 4.0以上版本进行浏览 |